Vivemos um momento em que os Grandes Modelos de Linguagem (LLMs), como o ChatGPT e o Gemini, são amplamente conhecidos e utilizados. Contudo, poucas pessoas sabem que hackers estão utilizando versões irrestritas desses sistemas para fins maliciosos. Entre os chatbots mais inquietantes estão o WormGPT 4 e o KawaiiGPT, exemplos claros de como a tecnologia de ponta pode ser deturpada para ampliar as capacidades do cibercrime.
Pesquisadores de segurança da Unit 42, uma divisão da Palo Alto Networks, investigaram essas LLMs ilegais, revelando seus impressionantes recursos. Os modelos foram projetados para realizar tarefas específicas, como encriptar dados de ransomware e realizar movimentos laterais em sistemas invadidos, facilitando ações criminosas mais sofisticadas.
O WormGPT, originalmente desenvolvido em 2023, teve seu projeto descontinuado, mas renasceu em uma quarta versão em setembro deste ano. Ele é oferecido a criminosos a um custo de US$ 50 mensais ou US$ 220 para um acesso vitalício. Na prática, funciona como uma versão sem censura do ChatGPT, permitindo sua utilização em atividades ilegais sem restrições.
Por outro lado, o KawaiiGPT, criado pela comunidade, foi identificado em julho deste ano. Ele é particularmente eficaz na criação de mensagens de phishing e na automação de movimentos laterais por meio de scripts. Durante os testes conduzidos pela Unit 42, o WormGPT foi solicitado a gerar um código ransomware para encriptar arquivos PDF em um sistema Windows, conseguindo criar um script PowerShell suficientemente configurável para realizar tal ação.
A ferramenta WormGPT 4 também consegue gerar notas de resgate assustadoras, mencionando, por exemplo, uma ‘encriptação de nível militar’ e estipulando prazos de 72 horas para pagamento, com o risco de aumento no valor cobrado caso as vítimas não cooperem. Essa abordagem oferece até mesmo a um hacker novato a possibilidade de lançar ataques sofisticados.
O KawaiiGPT, em sua versão 2.5, foi instalado em sistemas Linux em apenas cinco minutos. Ele conseguiu criar mensagens de spear-phishing convincentes e scripts Python para movimentação lateral, permitindo a execução remota de comandos em um sistema alvo.
Outro script Python gerado pelo KawaiiGPT foi projetado para explorar o sistema de arquivos Windows, utilizando recursos para enviar dados extraídos para um endereço controlado pelo hacker. A ferramenta também gera notas de resgate customizáveis e comandos que facilitam a escalada de privilégios, roubo de dados e instalação de malwares, embora não seja capaz de gerar um encriptador completo como o WormGPT 4.
Ambos os LLMs possuem centenas de usuários em seus canais no Telegram, onde a comunidade hacker compartilha dicas e estratégias. Essa realidade reforça que o uso de LLMs maliciosas é uma ameaça concreta, contribuindo para a aceleração de ataques cibernéticos e reduzindo o tempo necessário para execução de ações ilícitas, aumentando os desafios para a cibersegurança global.
